AIF-5.1AI システムを保護する方法を説明する。

ヒントボタン

プライバシー保護が厳しい金融業では、機械学習で扱うデータに含まれるPIIを自動検出し即座に暗号化しつつ、社内VPCだけから安全に利用することが不可欠です。Amazon MacieでPIIを検知し、Amazon S3に保存するときにAWS KMSでサーバー側暗号化を行い、S3 VPCエンドポイント経由でAmazon SageMakerが学習ジョブを実行する流れにすると、インターネットを経由せずガバナンス要件を満たせます。

復旧時点目標が4時間以内で増分2 TB/日という条件では、Amazon S3 Cross-Region Replicationが数分単位で自動複製を行い差分のみ転送するため、転送量課金も抑えつつ高頻度バックアップが実現できます。Glacierへの1日1回ライフサイクル移行やSnowballによる月次オフライン保管ではRPOを達成しづらく、NAT Gateway経由のコピーは転送コストと時間が増える点を比較材料にすると判断しやすいです。

PIIの検知と暗号化、VPC内通信、RPO4時間以内の継続的複製、そしてコスト最適化という複数の要件を俯瞰すると、Amazon Macie＋S3＋KMS＋VPCエンドポイント＋SageMaker＋S3 Cross-Region Replicationを組み合わせたアーキテクチャが最もバランス良く条件を満たし、他の選択肢は暗号化未実装やパブリック経路、低頻度バックアップなど何らかの条件で要件を満たせないことが分かります。

ヒントボタン

HIPAAの暗号化要件は「顧客管理キーで暗号化され、監査ログが残せること」が望ましいです。S3のSSE-KMSにCMKを使うとCloudTrailと連動して誰がいつデータにアクセスしたかの証跡が自動で残り、キーのローテーションもマネージドで運用負荷が低くなります。CMKはKey PolicyでSageMaker以外からの復号リクエストをブロックでき、最小権限も補強できます。追加エージェント不要で10TB級データにもスケールしやすい点が大きな利点です。

最小権限を実現するにはIAMロールとバケットポリシーでワークロード単位に許可を絞り、経路もインターネットを通さない構成が推奨です。SageMaker実行ロールだけにs3:GetObjectを許可し、Interface VPCエンドポイントやGateway EndpointでS3へプライベート接続するとS3 Block Public Accessを補完できます。VPC Flow LogsやAccess Analyzerで監査しつつ、エンドポイントポリシーを使えば権限付与作業も簡素化でき運用負荷が抑えられます。

PHIのライフサイクルを追跡するデータリネージにはGlue Data CatalogやLake Formationのメタデータ統合、あるいはSageMaker Model Cardsが有効です。手動スプレッドシートや外部GitHubでは改ざん検知が難しく審査負荷が高まりますが、Lake Formationは権限制御と監査を一元化し、Model Cardsは学習データの由来をテンプレートで残せます。CloudTrailやAWS Configと組み合わせれば暗号化・アクセス管理・リネージを包括的に満たす構成を総合的に選択できます。

ヒントボタン

30TB/日という連続データを受け止めるには Amazon S3 のスケールとマルチパート PUT が最適です。SSE-KMS で CMK を設定すれば鍵管理を自社で統制でき、S3 VPCエンドポイントと PrivateLink によって通信は AWS バックボーン内に閉じインターネットを通りません。オンプレミス側は Direct Connect や Transit Gateway で広帯域を確保しつつエンドポイント終端に集約でき、金融システムの運用負荷も抑えられます。

PII を4時間以内に検知・隔離する目的なら Amazon Macie が S3 オブジェクトを機械学習でスキャンし Findings を EventBridge に送れるためリアルタイム性があります。EventBridge で条件一致時に AWS Lambda を発火させ、タグ変更や別バケットへのコピーで自動隔離すれば人手を介さず SLA 達成が容易です。Glue Data Catalog のメタデータ管理や GuardDuty の脅威検出だけでは速度と粒度が不足する点に注意してください。

監査証跡を7年間保持するには CloudTrail を S3 に集約し Lifecycle で Amazon S3 Glacier Deep Archive へ移行する構成が最も低コストで 11ナインの耐久性も得られます。CloudWatch Logs の短期保持や Athena で30日後削除では期間不足、FSx や EBS はコスト高です。また CMK 暗号化は KMS API 呼び出しが CloudTrail に残るため監査レポート性も向上します。容量・暗号化・経路制御・迅速隔離・長期監査という複数要件を俯瞰し標準サービスで網羅できる案を選ぶのが総合的判断となります。

ヒントボタン

PCI DSSでは暗号鍵を自組織が管理し、アクセス毎のCloudTrail監査証跡を保持することが重視されます。S3でこれを満たすにはSSE-KMSを採用し、AWS KMSのCMKポリシーで最小権限を設定しながらキーのローテーションや削除保留、FIPSエンドポイントを活用する設計が望ましいです。鍵をAWS側が保持するSSE-S3との差異を理解し、金融機関特有の分離管理要件に照らして選択を評価しましょう。

データをAWS外へ出さずに1日50万リクエストを処理するには、S3とSageMaker間通信をVPC内に閉じる構成が有効です。プライベートサブネットに配置したトレーニングジョブはNAT GatewayもIGWも持たず、S3ゲートウェイエンドポイント経由で20TBのデータを高速に取得できます。バケットポリシーでvpce-id条件を設定し、ジョブ用IAMロールを細かく分けることで偶発的な外部経路や過剰権限を抑制できます。

RPO4時間を守るにはS3バージョニングとクロスリージョンレプリケーションを併用し、AWS BackupやLifecycleで追加コピーを確保すると余裕を持って復旧できます。ネットワーク分離、サーバー側暗号化、KMSキー管理、IAM最小権限、監査ログという多層防御を同時に達成できる案かどうかを総合的な観点から見極めてください。

ヒントボタン

医療データは HIPAA 準拠が前提です。CloudTrail で監査証跡を残し、暗号鍵は自前の KMS-CMK で所有・ローテーションすることが推奨されます。S3 を SSE-S3 のみで運用すると鍵管理が AWS 側になるため要件に届かず、KMS-CMK で Server-Side Encryption を設定し IAM と VPC エンドポイントポリシーで最小権限を徹底すると安全性が高まります。CMK を災害対策リージョンへレプリケートしておけば復号運用もスムーズです。

可用性と RPO/RTO を両立するには増分レプリケーションが鍵です。S3 のクロスリージョンレプリケーションは変更イベントごとに転送されるため RPO 4 時間を十分にクリアでき、復旧先リージョンで S3 オブジェクトをそのまま利用できます。SageMaker 環境は CloudFormation や SageMaker Projects のテンプレートを用いて自動デプロイすれば、RTO 1 時間以内に再構築が可能です。閉域網は Direct Connect を使い、S3 と SageMaker の Interface VPC エンドポイント経由で PrivateLink 接続とすることでインターネットを経由しません。

機密性の高い PHI 音声を自動検出するサービスとして Amazon Macie が S3 バケットをスキャンし、個人識別情報の有無や暗号化状態を可視化します。他サービスの GuardDuty や Glue はファイル内容の識別に特化しておらず目的に合いません。暗号化を KMS-CMK、転送経路を PrivateLink、レプリケーションを CRR、監査を CloudTrail と組み合わせることで、セキュリティ・可用性・復旧性の複数要件を無理なく同時に満たせる構成となります。

ヒントボタン

医療分野のPHIをS3に保管する場合、AWS KMSで独自キーを運用するSSE-KMSを設定すると、鍵の使用履歴をCloudTrailで取得しつつKeyポリシーでアクセス主体を分離でき、障害時に特定キーを無効化できるためHIPAA監査で求められる粒度の細かな統制と説明責任を両立できます。
Amazon SageMaker Studioを含むワークロードをインターネットに一切露出させずにS3へ10ミリ秒以内で接続したいなら、Interface型のS3 PrivateLink VPCエンドポイントを配置し内部DNSルーティングでアクセスさせる方法が最もシンプルで、パブリックURLやゲートウェイ型エンドポイントを使う場合に比べアタックサーフェスを大きく縮小できます。
監査証跡と継続的データ保護を求めるなら、S3 API操作をCloudTrailへ保存しつつAmazon MacieでPHIの機微情報検出を自動化し、さらにバケットポリシーやVPCエンドポイントポリシーで最小権限を徹底する構成がRTO四時間・レイテンシ十ミリ秒・インターネット経由ゼロという複合要件をバランス良く満たす総合解となります。

ヒントボタン

PIIを扱うデータレイクではS3の暗号化方式が要です。KMS CMKを用いればキーローテーションやCloudTrail連携で監査性が高まり、透過的暗号化で運用も軽いです。さらにAmazon Macieを連続モードで有効化しておくとアップロード直後に自動分類が走り、手動Athena照会より効率的に機密検出を継続できます。

PCI DSSのような厳格なネットワーク分離要件では、SageMakerをVPC内で閉域運用できるかがポイントになります。Interface VPCエンドポイントを介せばPrivateLink経由でS3やSTSとの通信がAWSバックボーン内に収まり、NATやIGWを不要にできます。一方で公開URLのStudioやパブリックサブネットのノートブックは外部経路が残るため要件未達となりがちです。

6時間のRPOを低運用で満たすにはS3バージョニングと6時間ごとのCRRを設定し、世代保持とリージョン間複製を自動化するのが定石です。加えてSageMaker Model Cardsを使えば学習ジョブが参照したS3オブジェクトのメタデータを自動記録でき、データ系統監査が容易になります。暗号化・閉域・機密検出・DR・系統管理をすべてマネージド機能で網羅できる設計を総合的に選びましょう。

ヒントボタン

医療データを扱う際はHIPAAを意識し、保存時に自動暗号化が行えるAmazon S3とSSE-KMSを選ぶとCMKやキーのローテーションをKMSに任せられるため運用が軽くなります。Macieが継続的にPHIやPIIを検出しSecurity Hubへ結果を送ることで監査にも備えられ、暗号化されないEFSやパブリックバケットは要件を満たしにくいと考えましょう。

推論サービスはVPC内に閉じることで攻撃対象を縮小できます。Amazon SageMakerをInterface VPCエンドポイント経由で呼び出し、AWS PrivateLinkでS3やSTSへアクセスすれば通信はAWSバックボーン内に限定されます。API Gatewayなどパブリック経由だとTLS終端が外に置かれPHIの取扱範囲が広がるため追加監査や運用が発生しがちです。

IAMロールを使った最小権限モデルによりアクセスキー管理が不要になりCloudTrailやAWS Configで証跡も確保できます。Macieの代わりにLambdaで独自検査を作ると保守コストが増え、GuardDutyだけではPHI検出ができません。暗号化・自動分類・VPC隔離・最小権限をすべてマネージドで網羅できる構成が総合的に最適と判断できます。